功能安全SBC与MCU之间的失效模式及安全机制（第一期）

baoshijie

一、为什么功能安全领域要采用SBC+MCU的方案实现功能安全目标为ASILC及ASILD的等级的开发需求？

ISO26262-4系统产品开发章节中提出，模块化系统设计属性要求对于ASILC及ASILD的等级的功能安全目标需要采用分层的设计，行业内成熟的标准架构E-GAS三层架构，是由奥迪、BMW、戴姆勒等国际顶尖公司联合起草制定的，其概念已经得到世界各大OEM和Tier1认可和广泛应用，能够满足设计要求。具体可以参照文章

《Standardized E-Gas Monitoring Concept for Gasoline and Diesel EngineControl Units》。



进行功能安全产品的开发时，可以采用分层的设计对ASIL等级进行分解，可将其分解为基本功能（第一层）与安全功能（第二、三层）。对基本功能的开发执行QM等级标准，而对安全功能的开发执行ASIL等级标准，即ASIL（C）= ASIL（QM）+

ASIL（C）、ASIL（D） = ASIL（QM）+ASIL（D）。第一层是功能层、第二层是功能监控层、第三层是硬件功能监控层。针对ASILC和ASILD等级的安全目标，需要通过多个处理器进行ASIL分解，但是这样成本会比较高，实现功能安全目标要求的硬件技术要求难度也比较大，因此，芯片供应商根据市场开发了带锁步核的功能安全级别芯片，例如类似TC275的芯片应市场而生。而第三层硬件监控层，需要通过交互的方式实现对第二层的监控，因此，需要有独立的处理器进行处理，并具有独立的关断路径，因此，类似TLF35584芯片的芯片应市场而生。



二、介绍SBC芯片TLF35584及安全机制

SBC：TLF35584

TLF35584是英飞凌的高性能电源管理芯片，其支持升压和降压预调节（PerRegulators），可以满足3-40V的宽电压输入。

TLF35584可以提供后向的不同电压输出（Post Regulators），包括5V/200mA的通信电源（LDO_Com）；

根据不同型号的芯片，提供5V/600mA（TLF35584xxVS1）或者3.3V/600mA（TLF35584xxVS2）的MCU供电电压

（LDO_uC）；150mA用于ADC的参考电压（Volt_Ref）；

两个150mA传感器供电电源（Tracker1和Tracker2）；以及可选的用于uC的外部供电。

此外，还有独立于上述两个模块的Standby Regulator （LDO_Stby），5.0 V/10 mA （TLF35584xxVS1）或者 3.3 V/10

mA（TF35584xxVS2）。

还有诸如监控（过压、欠压、过流、过温、过载）等功能；



安全状态控制；

16位SPI通信；

• 
  看门狗电路（windowwatchdog和functional watchdog）。35584有两种看门狗，一个是windowwatchdog，另一个是functional watchdog。WWD可通过PIN WDI触发，或者通过SPI控制WWD SCMD寄存器触发两种看门狗可以独立运行，有各自的定时和计数器。
  

TLF35584拥有多个状态包括初始化状态，正常状态，唤醒状态，睡眠状态，故障状态，待机状态，状态之间的跳转通过ENA、WAK管脚的电平变化以及SPI通讯进行控制状态的跳转。各芯片管脚的电平随着各状态的跳转而变化。





三、介绍TC275芯片及安全机制

MCU：AURIX TC275

TriCore?体系结构结合了三个强大的概念：其中两个TriCore 1.6P核(一个带锁步核)和一个TriCore1.6E 核(带锁步核)，三核主频200Mhz，编程FLASH 4MB，内嵌HSM，芯片功能安全可以达到ASIL-D；主要功能如下：



在功能安全方面，针对Core的Lockstep、针对RAM/Flash的ECC、针对电源的监控、针对时钟的监控(QA Watchdog)、针对ADC的自测试，以及针对安全机制或寄存器的BIST等。主要的失效模式及安全机制如下：

计算功能相关主要元器件

与控制芯片计算功能相关的主要元器件包括中央处理器 CPU，片上存储器（包括 SRAM，PFlash，DFlash 等），电源模块（如 LDO，DC/DC），时钟模块，内部总线等。

电源模块的失效模式（如LDO，DC/DC），主要包括过压、欠压、尖峰、启动时间不正确、输出振荡、静态电流超阈值；

中央处理器CPU：给定指令流未执行（完全遗漏）；非预期指令流被执行（误起动）；指令流执行时间错误（过早/过晚）；指令流结果不正确

SM：Lockstep

SM：SBC

SRAM/PFlash/DFlash：卡滞；软错误模型（例如单比特位翻转，多比特位翻转等）；其他故障模型（例如卡滞开路故障、寻址故障、寻址延迟故障、转换故障、邻域模式敏感故障、感应晶体管缺陷）

SM：ECC

时钟模块：输出卡滞（高或低）；输出浮空（开路）；不正确的输出信号摆幅（即超出预期范围）；不正确的输出信号的频率（超出预期范围，适用时包括谐波，例如 EMC 辐射）；不正确的输出信号的占空比（即，超出预期范围）；输出频率漂移；输出信号抖动过大

• 
  SM：时钟监控 detects and mitigates clock distribute，PLLmonitor；
  SM：内部辅助时钟由内部 RC 振荡器提供
  

输入功能相关主要元器件

与控制芯片输入功能相关的主要元器件包括模数转换器 ADC，数字 I/O 输入（如GPIO），传感器接口（如 SENT），与外部通信接口（如CAN）等。

数模转换器ADC：一路或多路输出卡滞（即高或低）；一路或多路输出浮空（即开路）；精度误差（即误差超过 LSB）；偏移误差（不包括输出上的卡滞或浮空，低分辨率）；无单调转换特性（即给定两个输入模拟电压 V1> V2，相应的数字值为 D1 <D2）；满量程误差（不包括输出上的卡滞或浮空，低分辨率）；单调转换曲线的线性误差（不包括输出上的卡滞或浮空，低分辨率）；不正确的建立时间（即，超出预期范围）

SM：诊断+冗余设计

数字 I/O 输入（如 GPIO）：卡滞；输入开路；信号线间短路；漂移和震荡

SM：诊断+冗余设计

传感器接口（如 SENT）：通信节点丢失；消息损坏；消息不可接受的延时；消息丢失；非预期的消息重复；消息顺序错误；消息插入；消息伪装；消息寻址错误

SM：CRC 校验

与外部通信接口（如 CAN）：通信节点丢失；消息损坏；消息不可接受的延时；消息丢失；非预期的消息重复；消息顺序错误；消息插入；消息伪装；消息寻址错误

SM：RC/CRC/Timeout/DataID

输出功能相关主要元器件

与控制芯片输出功能相关的主要元器件包括数模转换器 DAC，数字 I/O 输出（如GPIO），安全状态支持模块，与外部通信接口（如 CAN）等。

数模转换器 DAC：输出卡滞（高或低）；输出浮空（开路）；偏移误差（不包括输出上的卡滞或浮空，低分辨率）；单调转换的线性误差（不包括输出上的卡滞或浮空，低分辨率）；满量程增益误差（不包括输出上的卡滞或浮空，低分辨率）；非单调转换；不正确的建立时间（即超出预期范围）；输出信号的振荡（包括漂移）

SM:诊断+冗余设计

数字 I/O 输出（如 GPIO）：卡滞；输入开路；信号线间短路；漂移和震荡

SM：诊断+冗余设计

四、简单介绍SBC端芯片TLF35584与MCU端芯片TC275的功能交互

主MCU芯片和 SBC（系统基础芯片）芯片组合配对，实现了主从架构的功能。其中主芯片的锁步核和 SMU（故障收集控制单元），SBC 芯片中的 运行状态机，其中，MCU芯片完成输入信号的采集检查、输出信号的控制、数据存储器的访问等功能，SBC对电源状态的监控、功能运行状态的实时监控、关断路径的诊断与控制等功能。两个互相监控，独立的关断路径，MCU能够通过控制器的输出、SBC通过SS1及SS2，均能触发整个系统的复位并关断输出级，实现功能安全。

SBC端芯片TLF35584与MCU端芯片TC275功能运行简图：

针对所提到的功能安全领域采用SBC（安全控制单元）+MCU（微控制单元）方案实现ASIL C及ASIL D等级的功能安全目标的问题，原因在于模块化系统设计和分层架构的需求。SBC负责监控和管理安全相关功能，确保在异常情况下系统能够安全关闭或采取相应措施；而MCU作为核心控制单元，负责执行具体的控制任务。两者结合能有效提高系统的可靠性和安全性。ISO26262-4中的模块化系统设计属性要求采用这种分层设计来满足ASIL等级的功能安全目标。这种方案得到了行业内顶尖企业的认可和应用，符合行业发展趋势和实际需求。具体可参照文章深入了解标准化E-Gas监测概念等细节内容。

落叶纷飞

关于功能安全SBC与MCU之间的失效模式及安全机制（第一期）的内容，我会尽量精简专业地回答如下：

在汽车功能安全领域，采用SBC（安全车身控制）与MCU（微控制器）的组合方案是实现ASIL C及ASIL D等级功能安全目标的有效手段。这是因为模块化、分层设计能够更好地满足系统安全需求。按照ISO 26262-4的系统产品开发章节，对于较高安全等级的系统，需要通过多层次的安全保障机制来确保功能的安全性。这种E-GAS三层架构是经过行业内顶尖公司联合制定，得到广泛认可并应用。此方案能够更有效地监测和控制汽车系统的失效模式，提升汽车整体的安全性能。如需了解更多细节，建议参阅《Standardized E-Gas Monitoring Concept for Gasoline》一文。

落叶纷飞

针对所提到的功能安全领域采用SBC（安全控制单元）+MCU（微控制单元）方案实现ASIL C及ASIL D等级的功能安全目标的问题，原因在于模块化系统设计和分层架构的需求。SBC负责安全策略的实现和监控，MCU则执行具体的控制任务。两者协同工作，能有效提升系统安全性能，满足不同等级的安全需求。采用此方案可增强系统的可靠性和灵活性，便于进行故障检测与隔离，降低故障风险。ISO26262-4等国际标准支持该方案的应用和实施，符合当前汽车行业的发展趋势。这一方案能够提升系统的集成度和性能表现，从而满足汽车功能安全的需求。具体的实施细节和安全机制设计，可进一步参考相关文章进行研究。

开垦者

关于功能安全SBC与MCU之间的失效模式及安全机制的问题，采用SBC+MCU方案实现功能安全目标是因为这种方案能够满足ASIL C及ASIL D等级的开发需求。模块化系统设计属性要求对于不同等级的功能安全目标需要采用分层设计。具体来说，基于ISO 26262-4系统产品开发章节的理念，通过采用E-GAS三层架构，我们可以更有效地管理系统的复杂性并确保其可靠性。这种架构得到了行业顶尖公司的认可，并且可以满足汽车行业中对于功能安全的严格要求。进一步来说，这一方案能够有效地管理和减少功能失效的模式，从而增强整个系统的安全性和稳定性。总之，这种方案结合了当下先进的系统设计理念，保证了汽车功能的安全性并满足了汽车工业的发展需求。具体可参照相关文献进行深入研究和理解。

shinch

针对所提到的功能安全领域采用SBC（安全控制单元）+MCU（微控制单元）方案实现ASIL C及ASIL D等级的功能安全目标的问题，这一方案被广泛应用是因为其能有效应对复杂系统的高安全需求。SBC作为安全管理核心，主要负责监测和管理系统安全性；MCU负责控制其他系统功能并与管理核心配合实现更稳定的系统运行。此方案基于ISO 26262-4的系统产品开发要求，采用模块化设计，确保功能安全目标得以实现。模块化设计有助于提升系统的可维护性和可靠性，同时满足ASIL等级的安全需求。这种方案通过分层设计实现了对功能安全的精准控制，使得系统在各种失效模式下都能保证安全性。如需了解更多细节，建议查阅相关文献或咨询行业专家。

wmwlove

针对所提到的功能安全领域采用SBC（安全控制单元）+MCU（微控制单元）方案实现ASIL C及ASIL D等级的功能安全目标的问题，这一方案是出于模块化设计的需要，能够确保系统在不同层级的安全需求得到满足。SBC与MCU的失效模式包括硬件故障、软件错误等，为此设计了相应的安全机制，如冗余系统、故障检测与恢复等。对于模块化系统设计属性而言，E-GAS三层架构提供了一种分层的安全实现方式，可以满足不同功能安全等级的需求。因此为了满足ISO26262-4系统产品章节中对于ASIL C和ASIL D的安全等级的开发需求，选用该方案更能够保证车辆安全与系统稳定。至于详细的实现细节与规范可参见所述文章深入了解。

huangguang

关于功能安全SBC与MCU之间的失效模式及安全机制的问题，采用SBC+MCU方案实现功能安全目标是因为这种方案能够满足ASIL C及ASIL D等级的开发需求。模块化系统设计属性要求对于不同等级的功能安全目标需要采用分层设计，而E-GAS三层架构是一种成熟的标准架构，能够满足设计要求。通过该方案，可以有效识别并处理SBC和MCU之间的失效模式，确保系统安全。这一方案的应用广泛，可以确保功能安全目标的顺利实现。详细的专业解读可查阅相关文章《Standardized E-Gas Monitoring Concept for Gasoline》。

xiaocheng

针对功能安全领域采用SBC+MCU方案实现ASIL C及ASIL D等级功能安全目标的问题，回复如下：

功能安全领域采用SBC+MCU方案，是因为这种分层架构设计能够更好地满足ASIL C及ASILD等级的高功能安全需求。SBC作为系统基础控制单元，能够确保基础功能的稳定运行；而MCU作为核心控制单元，负责更复杂的功能处理与安全监控。两者结合，通过协同工作，能够显著提高系统的可靠性和安全性。这种方案符合ISO 26262-4的系统产品开发章节要求，且行业内广泛认可的E-GAS三层架构为此提供了实践指导。通过该方案，我们能更有效地应对各种失效模式，并建立相应的安全机制，确保车辆的安全运行。

以上内容仅供参考，如需深入了解，可进一步查阅相关文献资料或咨询汽车行业专家。

huangguang

针对所提到的功能安全领域采用SBC（安全控制单元）+MCU（微控制单元）方案实现ASIL C及ASIL D等级的功能安全目标的问题，以下是我的专业回复：

在汽车功能安全领域，采用SBC+MCU方案是为了实现更为细致和高效的安全控制机制。SBC负责安全策略的实施与监控，而MCU则进行主要的车辆功能控制。此方案能够分层处理安全需求，确保ASIL C及ASIL D等级的安全目标得以实现。模块化设计能够提升系统稳定性与可靠性，符合ISO 26262-4的系统产品开发要求。其中E-GAS三层架构是一个成熟的标准化系统，广泛应用于行业并得到顶尖公司的认可。它通过明确的定义与标准化操作，确保了功能安全目标的实现。具体可查阅相关文献深入了解其概念及应用。

以上回复供参考，如需更多信息，建议咨询汽车功能安全领域的专家。

lidenghui

针对所提到的功能安全领域采用SBC（安全控制单元）+MCU（微控制单元）方案实现ASIL C及ASIL D等级功能安全目标的需求，有以下解释及回应：

在汽车功能安全领域，为了满足ASIL C及ASIL D等级的开发需求，采用SBC+MCU方案是因为这种分层设计架构能有效提升系统安全性与可靠性。SBC负责安全策略的执行与监控，而MCU则负责控制车辆的基础功能。两者结合，通过协同工作确保关键系统的高安全性。这种方案符合ISO 26262-4的系统产品开发章节中的模块化系统设计属性要求，且已被行业内广泛认可的E-GAS三层架构所验证。此架构由国际顶尖汽车厂商共同制定，能够满足汽车功能安全领域对高安全等级的需求。这种方案通过标准化设计，有助于提高开发效率，降低安全风险。详细的安全机制可进一步参考相关文献进行深入探讨。

shuizhonghua

针对所提到的功能安全领域采用SBC（安全控制单元）+MCU（微控制单元）方案实现ASIL C及ASIL D等级的功能安全目标的原因，专业回复如下：

为了满足功能安全领域的ASIL等级要求，采用SBC+MCU方案是出于模块化设计的考虑。这种方案能够确保系统的高可靠性和高效性。其中，SBC作为系统的安全守护者，能处理特定的紧急状态并采取控制措施，确保安全性。而MCU则负责系统的基本控制功能。两者结合，通过分层设计满足ISO 26262-4的系统产品开发要求。行业内广泛认可的E-GAS三层架构正是基于这种设计理念，通过其标准化概念确保功能安全目标的实现。这一方案得到国际顶尖汽车公司的认可和应用，确保系统设计的成熟性和可靠性。具体可详读相关文献以深入了解。

lixinfu

针对所提到的功能安全领域采用SBC（安全控制单元）+MCU（微控制单元）方案实现ASIL C及ASIL D等级的功能安全目标的问题，回复如下：

在汽车功能安全领域，采用SBC+MCU方案是为了实现更为精细和可靠的安全控制。SBC负责监控和管理系统的安全状态，而MCU则负责执行具体的控制任务。两者结合，能够在不同层级上实现有效的安全控制机制，确保系统在各种失效模式下都能满足ASIL C及ASIL D等级的安全需求。模块化系统设计属性要求采用分层设计来满足这一需求，其中E-GAS三层架构作为一种成熟的标准架构，已被广泛认可并应用于实际产品中。该架构通过标准化设计提升了系统的可靠性和安全性，从而满足设计要求。如需了解更多细节，建议查阅相关文献或咨询行业专家。